Findo este capítulo, importa aqui sumarizar algumas ideias pertinentes que sobres- saem do mesmo, das quais se destacam as seguintes:
- Afigura-se necessário conhecer e perceber o contexto em que os países estão inseridos para que seja possível conhecer as ameaças, sendo que, neste caso em concreto, ela estava lá e era possível ser identificada, devido às ações tomadas pelo Governo da Estónia.
- Depois é importante perceber que, quem vai à frente do ponto de vista da inovação, não obstante usufruir de diversos benefícios (por exemplo, vantagens ao nível da eficiência e eficácia dos serviços prestados, mas também ao nível do prestígio que o país granjeava pelo facto de ser uma referência em termos de e-gov), tem associada uma maior exposição ao risco de ciberataques. Ou seja, quem trabalha em projetos pilotos ou na área da inova- ção, sabe que a probabilidade de ocorrem internamente situações não previstas inicialmen- te ou de outros aproveitarem as vulnerabilidades fundamentalmente associadas à falta de curva de experiência é real, tendo sido este o caso da Estónia.
- Importa pois que, cada vez mais se aposte em áreas como a Intelligence, porque na maior parte das vezes a ameaça é passível de ser conhecida previamente a ela se manifestar, devendo existir uma aposta em áreas como a gestão do risco dos ativos críticos. Deste modo, importa apostar igualmente em modelos de ciber resiliência, pois os ciber agentes estarão sempre mais à frente comparativamente com aqueles que trabalham a cibersegu- rança como apenas mais um processo, por norma, de suporte.
- Por outro lado, importa referir ainda que é fundamental fomentar a cooperação interna- cional, sem a qual a resposta a este tipo de eventos não é eficaz. Porém, esta não é uma área fácil de trabalho, sendo que no caso do ciberespaço o desafio ainda é maior, a começar pela falta de regras e / ou de aceitação de regras comuns do ponto de vista jurídico que permitam aos países punir quem contra si atuou, não raras vezes com o apoio de outros Estados (fenómeno semelhante ao que se assiste no terrorismo). Para tal, deveremos ter a capacidade de saber aproveitar a experiência já consolidada na área da cooperação interna- cional contra o terrorismo para evoluirmos na cooperação internacional no âmbito da cibersegurança, nomeadamente na área jurídica, pois esta constitui a coluna vertebral para
A Aplicação do Uso da Força no Ciberespaço
59
que se possa dar uma resposta cabal aos infratores, em particular, no que respeita à sua responsabilização ao nível criminal, sem prejuízo de eventuais indemnizações pecuniárias pelos danos causados.
- Do ponto de vista mais operacional, deixamos agora aqui algumas orientações para o caso de ocorrer algum ciberataque em Portugal, de acordo com o nosso ordenamento jurídico:
a) Numa vertente internacional dos ciberincidentes, assume particular importância conhecer a origem dos mesmos, podendo estas informações serem recolhidas através das investigações levadas a cabo pelas autoridades judiciárias e órgãos de polícia criminal (OPC’s), através das denúncias apresentadas e, de igual modo, da análise do cenário geo- político nacional e internacional, nomeadamente através do Serviço de Informações de Segurança.
b) Afigura-se importante concluir se existem sérios indícios de que os ciberincidentes são instrumentalizados por um Estado identificável ou apenas por alguns grupos isolados ou atores individuais, uma vez que esta informação se considera como vital para percecio- nar se se encontram reunidas as condições para se aplicar o Direito Internacional, caso sejam alcançados certos níveis de impacto no Estado. No caso de não ser possível concluir de forma evidente a atribuição do ciberincidente a um Estado, passaremos a aplicar somen- te o Direito interno, de acordo com a tipologia dos ataques e os respetivos efeitos.
c) De acordo com a alínea anterior, poderemos conseguir atribuir o ciberincidente (como um ataque de DDoS) a um Estado quando, por exemplo, esses ciberincidentes ou ciberoperações são originárias de órgãos da sua AP, de entidades mandatadas por esse Estado para exercer funções ou poderes públicos ou de entidades privadas, grupos ou pes- soas singulares que recebam instruções e atuem sob orientação ou controlo desse Estado.
d) Já no caso de se conseguir imputar um ciberincidente a um Estado, o Estado atin- gido pode recorrer a: respostas civis (não militares), nomeadamente à via diplomática; for- ças de segurança interna; tribunais internacionais, a fim de ser aplicado o Direito Penal Internacional; e retaliações, de acordo com o princípio da legalidade.
e) Por outro lado, o recurso a uma resposta militar dependerá da qualificação ou não do ciberincidente, no que respeita ao uso da força. Neste sentido, entende-se que há uso da força quando se verificam estragos físicos ou danos corporais ou, no limite, a morte de pessoas. Com efeito, na prática, será lícito recorrer aos meios militares e ao uso da força apenas quando os ciberincidentes sejam imputáveis a outro Estado e sejam, eles próprios, qualificáveis como uso da força.
A Aplicação do Uso da Força no Ciberespaço
60
f) Nos casos em que não há informações de mortes de pessoas ou danos corporais, poderemos explorar a hipótese de se considerar existir uso da força nas situações em que se verificam danos físicos motivados pela falta de eletricidade e comunicações. Nesta contin- gência, sendo os ciberincidentes imputáveis a um Estado, de acordo com os indícios reco- lhidos, e se constate o uso da força, o Estado que é vítima dos ciberincidentes poderá socorrer-se do direito de legítima defesa, nos termos do art.º 51.º da CNU284.
g) Para que seja efetuado o recurso ao uso da força, no âmbito do direito de legítima defesa, terão de ser respeitados os seguintes princípios pelo Estado, de acordo com o direi- to consuetudinário internacional: o princípio da necessidade de atuação285; o princípio da proporcionalidade na resposta286; o princípio da adequação da resposta287; e o princípio da atualidade da ameaça288.
h) Tal como já vimos anteriormente, o Estado vítima caso pretenda fazer o uso da força, mesmo que seja numa situação de legítima defesa, de acordo com o art.º 51.º da CNU, terá de informar o CS das NU289 e, eventualmente, pedir ajuda militar à OTAN290. Neste particular, e tendo já a identificação do ataque por forças estrangeiras identificáveis, o referido Estado deverá informar a OTAN, não só para eventual apoio técnico (nomeada- mente, através do CNCS) mas, acima de tudo, para informar os restantes EM quanto ao
284 Em Portugal, caso se concretize a agressão efetiva de forças estrangeiras, o Estado pode recorrer ao uso da força pelas suas Forças Armadas, envolvendo para o efeito o Primeiro-Ministro e o Ministro da Defesa Nacional, bem como o PR na qualidade de Comandante Supremo das Forças Armadas.
285 As medidas de força adotadas terão como objetivos: obviar a um ataque iminente ou terminar um ataque que está a decorrer. Isto é, terá de se verificar que o recurso a meios pacíficos não será insuficiente para atin- gir qualquer destes objectivos.
286 A resposta deverá ser proporcional, ou seja, não deve exceder o necessário para pôr um termo ao ataque. Deste modo, os meios a utilizar devem ser proporcionais/adequados às ameaças identificadas e limitar-se ao necessário para fazer face a essas ameaças.
287 A resposta terá de ocorrer no momento adequado, ou seja, a mesma deve ocorrer durante um ataque ou quando o mesmo é iminente, para se incluir no direito de legítima defesa.
288 Para se perceber se o uso da força após a cessação do ataque ainda será legítimo ou se será já retaliação teremos de analisar os seguintes parâmetros avaliativos: (i) a proximidade temporal com o ataque; (ii) o período necessário para identificar o agressor; e (iii) o tempo necessário para preparar a resposta.
289 Caso o Estado pretenda recorrer ao uso da força ao abrigo de um direito de legítima defesa, deve informar o CS das NU para que não entre em incumprimento com as suas obrigações assumidas na CNU.
290 Nos termos do art.º 4.º do Tratado do Atlântico Norte, no que respeita à gestão de crises, assegura-se que “as Partes consultar-se-ão sempre que, na opinião de qualquer delas, estiver ameaçada a integridade territo- rial, a independência política ou a segurança de uma das Partes”. Em complemento, e de acordo com o art.º 5.º desse Tratado (Defesa Coletiva) assegura-se que “as Partes concordam em que um ataque armado contra uma ou várias delas na Europa ou na América do Norte será considerado um ataque a todas, e, consequente- mente, concordam em que, se um tal ataque armado se verificar, cada uma, no exercício do direito de legíti- ma defesa, individual ou coletiva, reconhecido pelo art.º 51.º da CNU, prestará assistência à Parte ou Partes assim atacadas, praticando sem demora, individualmente e de acordo com as restantes Partes, a ação que considerar necessária, inclusive o emprego da força armada, para restaurar e garantir a segurança na região do Atlântico Norte. Qualquer ataque armado desta natureza e todas mais providências tomadas em conse- quência desse ataque são imediatamente comunicados ao CS. Essas providências terminarão logo que o CS tiver tomado as medidas necessárias para restaurar e manter a paz e a segurança internacionais”.
A Aplicação do Uso da Força no Ciberespaço
61
risco para a sua defesa, a fim de se equacionar um uso conjunto das forças militares de EM da OTAN. Todavia, o exposto, não impede este Estado de adotar as medidas que considere necessárias com as suas próprias FAs.
A Aplicação do Uso da Força no Ciberespaço
62
2. A Cibercriminalidade, o Terrorismo e o Ciberterrorismo